PentaTrail Logo
CTEM・脅威インテリジェンス#ASM#攻撃対象領域#セキュリティ#CTEM

ASM(攻撃対象領域管理)入門 - 外部から見える自社のリスクを把握する

PentaTrail編集部··3分で読める
目次

ASMとは

ASM(Attack Surface Management / 攻撃対象領域管理) とは、組織が外部からアクセス可能なすべてのデジタル資産を継続的に発見・分類・監視するセキュリティプラクティスです。

攻撃者は、組織自身が把握していない資産を狙います。ASMは「攻撃者に見えているものを、自分たちも見えるようにする」ための取り組みです。

攻撃対象領域に含まれるもの

外部攻撃面には、以下のようなものが含まれます。

  • ドメイン・サブドメイン: 本番環境だけでなく、開発・ステージング環境も含む
  • IPアドレス・ポート: 公開されているサービスやAPI
  • Webアプリケーション: 管理画面、APIエンドポイント、フォーム
  • クラウドリソース: S3バケット、Azure Blob、GCSなどのストレージ
  • SSL/TLS証明書: 期限切れや設定不備
  • 使用技術: CMS、フレームワーク、ライブラリのバージョン
  • WHOIS情報: ドメイン登録情報の公開状況

なぜASMが必要なのか

シャドー IT の増加

部門ごとに独自にクラウドサービスを契約したり、開発チームがテスト用のサブドメインを作成したりすることで、IT 部門が把握していない資産が増え続けています。シャドー IT 固有のリスクは シャドー IT の解説 で詳しく取り上げています。

M&A・組織変更

企業の合併や買収により、管理されていないドメインやサーバーが取り残されるケースは少なくありません。これらは攻撃者にとって格好の侵入口になります。

クラウドの設定ミス

クラウドリソースの設定ミスによる情報漏洩は、年々増加しています。公開設定になっているストレージバケットや、アクセス制御が不適切な API は、ASM で発見できます。

ASMの導入ステップ

Step 1: 既知の資産を整理する

まず、自社で管理しているドメイン、IPアドレス、クラウドアカウントをリストアップします。これが探索の起点になります。

Step 2: 自動探索を実行する

既知の資産を起点に、関連するサブドメイン・IP アドレス・ポート・使用技術を自動的に探索します。ここで「知らなかった資産」が多数見つかるのは ASM 導入時の典型的な気付きです。

Step 3: リスクを評価する

発見した資産に脆弱性スキャンとセキュリティ評価を実施します。期限切れの証明書、古いソフトウェアバージョン、不要な公開ポートなどを特定します。リスクの優先順位付けには TER(脅威エクスポージャーリスク) のバンド分類が有効です。

Step 4: 継続的に監視する

一度だけのスキャンでは不十分です。新しい資産の追加、設定変更、脆弱性の公開は日々発生します。継続的な監視により、変化をリアルタイムに検知します。

PentaTrail の ASM 機能

PentaTrail/CTEM は CTEM フレームワーク全体をカバーするサービスで、ASM は Discovery フェーズに該当します(CTEM とは)。

  • 7 カテゴリの資産発見: ホスト、IP、ポート、技術スタック、URL、クラウドバケット、WHOIS
  • 継続的スキャン: 定期的な自動スキャンで変更を検知
  • セキュリティスコア: 0-100 のスコアで攻撃面の状態を可視化
  • 変更タイムライン: いつ何が変わったかを時系列で追跡

発見した資産のリスク優先順位付けは TER バンド が、悪用可能性の能動検証は AI ディープスキャンが担います。詳しくは 機能紹介 をご覧ください。実際の発見プロセスを試すには 14日間無料で始める

PentaTrail/CTEMで攻撃面を可視化しませんか?

CTEMフレームワークに基づき、外部攻撃面の発見から脆弱性検証・対応推進までを一気通貫で実現します。

お申し込みはこちら

関連記事

CTEMとは?従来の脆弱性管理との違いと導入メリット

脅威エクスポージャーリスク:技術リスク × ビジネスリスクの統合評価

脅威ディスカバリレベル(TDL)とは — CVSS × EPSS による脆弱性ランク付け

← ブログ一覧に戻る